销售易的隐私安全方法论

时间:2023-04-23 16:36:43  来源:网络整理   www.pphome.com.cn

今年两会,数据安全问题再次被当做重要议题提出,在最新的政府工作报告中提到:“要推进社会治理,强化网络安全、数据安全和个人信息保护”。数据隐私安全显然是数字时代无法绕过的话题,也是相关方不得不做的重要功课之一。

欧盟于 2018 年颁布“史上最严”《通用数据保护条例(General Data Protection Regulations)》,即“GDPR”。以此为参考,2020 年 CCPA 作为美国“最全面的个人隐私保护法”在加州开始实施。在刚刚过去的 2021 年,我国颁布了《数据安全法》和《个人信息保护法》,标志着国家对隐私信息安全监管进入有法可依的新阶段。

在这些法律法规的背后,是全球范围内愈演愈烈的隐私泄露事件。2021 年 4 月,Facebook 用户信息泄露波及 5.3 亿人,口碑崩塌。在国内,部分互联网公司利用大数据杀熟, 利用 AI 算法和人脸识别技术违规收集数据在行业内似乎已经见怪不怪,触碰大众神经。在这样的形势下也就不难理解规范数据隐私安全已犹如弦上之箭不得不发,是必然趋势。

保护数据隐私安全已经成为了全球共识。随着全球互联网数字化浪潮的推进,数字资产已经成为重要的资产之一,成为与工业时代土地、劳动、资本同等重要的当代生产要素。除了政府的参与和规范外,作为数据采集者的企业来说,主动承担起建设数据隐私保护体系的责任尤为重要。

Facebook 在经历隐私危机后推出了新功能:用户可以永远禁止 Facebook 收集自身数据,但这细品起来多少有点形势所迫的味道。而同为互联网巨头,Google 在 I / O 大会上发布了 Federated Learning 联合学习功能,主动利用算法来提升用户对数据隐私的掌控力。可以看出,在美国已经有部分科技公司在数据隐私安全上做出改变。

数据隐私对于个体而言事关安全和权利,对于企业来说,数据隐私事关企业价值和口碑,甚至关系到生死存亡。因此,以企业为客户的头部 SaaS 厂商已经提前谋篇布局,将数据隐私和信息安全作为重点长期投入。

销售易就是国内 SaaS 厂商在数据隐私安全体系建设中的佼佼者。

销售易获得 ISO27701 认证

2022 年 2 月,销售易获得了 ISO27701 认证,这是继 ISO27001 (信息安全管理体系) 认证后,销售易进一步在隐私信息管理方面取得的重大成果。标志着销售易在隐私安全领域已达到国际水平,证明了自己在信息安全领域的实力。

ISO / IEC 27701 作为全球首个个人隐私信息管理体系标准,由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布,旨在帮助企业建立、实施、维护和持续改进隐私信息体系(PIMS)。目前这一认证也是业内权威性的隐私管理体系建设指导标准,是目前国际上最权威、最被广泛接受的隐私保护标准之一。

ISO27701 标准认证,需要企业经过全面的准备。企业需实施涵盖 ISO / IEC 27701 所有要求的、隐私保护体系,并需经过第三方认证机构的独立评估以及严格的现场审核,之后还要在每半年或一年对体系和整改计划的实施进行监督审核,并在签发三年后进行再审核。

销售易是国内获得该国际认证的为数不多的 SaaS 厂商之一。获得 ISO / IEC 27701:2019 资质证书,标志着销售易个人隐私保护体系经过多年的建设,在个人信息保护执行、持续优化等多个方面达到国际标准要求。

销售易的数据隐私方法论

销售易在数据隐私安全领域有自己的一套方法论。多年来,从人员组织、流程制度、产品技术、长效机制等方面进行建设积累,不断提高产品隐私合规性。

在组织人员层面,设立了 DPO(数据保护专员)和用户隐私权利响应部门,由专人确保用户隐私权利的及时响应,增强客户可感知的隐私成熟度;在流程制度层面,销售易内部不断优化隐私安全体系流程文档的建设,包括应急响应流程,安全评估流程等,不断提高销售易隐私体系建设的成熟度;在产品技术层面,将隐私合规融入个人数据全生命周期(数据收集、使用、分享、披露、留存与销毁),隐私设计(Privacy by Design)的落地实施,确保产品隐私合规的符合性;在长效机制层面,定期审查隐私合规的落地实施有效性,并持续优化,保证隐私合规实施的有效性。

数据隐私安全,不只是企业一方的努力,销售易采取安全责任共担机制,除了明确销售易作为数据处理者和数据控制者的责任外,还明确了客户的权力义务,与云基础设施提供商及客户共同保障云上个人数据的安全。

在如何保护客户数据上,销售易对数据收集、数据存储、数据处理、数据销毁、数据披露和跨境传输 6 个阶段的管理做出了明确规定。

追求国际最高标准 抢占国际市场先机

获得 ISO27701 是销售易国际化战略中的必然一步。在数据隐私安全体系建设上, 销售易一直以当前最为严格的“GDPR”为标准,确保在 GDPR 隐私合规标准要求下处理客户的个人数据,并同国际著名的咨询公司一起,定期对销售易产品进行 GDPR 隐私合规审查,不断优化提高销售易隐私安全成熟度。

随着销售易业务国际化、客户全球化,依据国际最高标准来建设和运行自己的隐私保护体系,一方面是全球范围内对数据隐私保护达成普遍共识, 规范数据隐私已经成为趋势。另一方面, 销售易拥有前瞻能力, 提前布局, 为未来帮助企业出海, 服务国际客户, 抢占市场先机打下良好的基础。

销售易作为数据隐私和信息安全方面的引领者,将继续在数据隐私和信息安全方面继续探索追求更高标准,为保护客户数据隐私和信息安全不断努力。

编者按: 数据隐私安全保护能力,将成为企业的竞争力

数据隐私安全这一话题应该从两个角度看,一是趋势,另一角度是商业价值。从趋势上,在数据互联网时代,企业和个人对于数据隐私的保护,会成为一种显性要求。重视数据隐私安全并不是一种所谓“政治正确”,而需要企业跳出来,站在高处看清大河的流向,看到趋势,顺势而为。

而在商业角度,产品服务化,以客户为中心并不是一句口号。销售易对数据隐私安全的保护,从根本上是“以客户为中心”价值观的落地,并对此进行经年累月的建设,渗透到企业的方方面面。当越来越多的企业重视投入数据隐私安全建设,良性竞争展开,行业标准被改写, 对数据隐私的保护能力将成为企业竞争力。而对数据隐私安全的忽视,也将成为企业短板,甚至成为企业的致命点。


  免责声明:转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如因作品内容、版权和其它问题需要同本网联系的,请及时联系我们,我们将尽快予以有效核实并作出相应处理。

感兴趣? 更多分享方式